Ein 28-jähriger britischer Mann aus Fleetwood, Hertfordshire, wurde wegen unbefugtem Computerzugriff in krimineller Absicht und Erpressung seines Arbeitgebers verurteilt.
In einer gestern von der South East Regional Organized Crime Unit (SEROCU) veröffentlichten Pressemitteilung heißt es, dass der verurteilte Mann Ashley Liles im Februar 2018 als IT-Sicherheitsanalyst bei einem in Oxford ansässigen Unternehmen arbeitete, das einen Ransomware-Angriff erlitten hatte.
Wie bei vielen Ransomware-Angriffen kontaktierten die Bedrohungsakteure die Führungskräfte des Unternehmens und forderten eine Lösegeldzahlung.
Aufgrund seiner Rolle im Unternehmen beteiligte sich Liles an den internen Untersuchungen und der Reaktion auf Vorfälle, die auch von anderen Mitarbeitern des Unternehmens und der Polizei unterstützt wurden.
Allerdings soll Liles in dieser Phase versucht haben, sich durch den Angriff zu bereichern, indem er seinen Arbeitgeber dazu brachte, ihm anstelle des ursprünglichen externen Angreifers ein Lösegeld zu zahlen.
„Ohne Wissen der Polizei, seiner Kollegen und seines Arbeitgebers startete Liles einen separaten und sekundären Angriff gegen das Unternehmen“, heißt es in der Zeitung SEROCU-Ankündigung.
„Er hat über 300 Mal auf die privaten E-Mails eines Vorstandsmitglieds zugegriffen und außerdem die ursprüngliche Erpressungs-E-Mail und die vom ursprünglichen Angreifer angegebene Zahlungsadresse geändert.“
Der Plan bestand darin, die Situation auszunutzen und die Zahlung auf eine Kryptowährungs-Wallet unter der Kontrolle von Liles umzuleiten.
„Liles erstellte außerdem eine fast identische E-Mail-Adresse wie der ursprüngliche Angreifer und begann, E-Mails an seinen Arbeitgeber zu senden, um ihn zur Zahlung des Geldes zu drängen.“ erklärte SEROCU.
Der Firmeninhaber war jedoch nicht daran interessiert, die Angreifer zu bezahlen, und die damals noch laufenden internen Untersuchungen ergaben, dass Liles unbefugten Zugriff auf private E-Mails hatte und auf die IP-Adresse seines Zuhauses hinwies.
Als Liles‘ Cyberkriminalitätsteam in Liles’ Haus stürmte und seinen Computer beschlagnahmte, erkannte Liles zwar, dass die Ermittlungen ihn einschränkten und alle Daten von seinen persönlichen Geräten gelöscht hatten, doch es war immer noch möglich, belastende Daten wiederherzustellen.
Liles bestritt zunächst die Beteiligung, bekannte sich jedoch fünf Jahre später während einer Anhörung vor dem Crown Court in Reading schuldig.
Der betrügerische Angestellte wird am 11. Juli 2023 vor Gericht zurückkehren, um sein Urteil anzuhören.
Nach britischem Recht wird der unbefugte Computerzugriff mit bis zu 2 Jahre Gefängniswährend Erpressung mit einer Höchststrafe von Freiheitsstrafe geahndet wird 14 Jahre.
